背景

隐私合规的概念，源于应用市场各类app随意获取用户权限，导致大量公民个人信息在未知情情况下泄露的乱像，国家出台了各类的法律法规，去保护公民的个人隐私。

细则

• 《隐私政策》应当明确告知用户App处理用户个人信息的目的、方式和范围，如果您的APP中存在第三方提供的服务处理用户个人信息，还应当对第三方服务处理个人信息的活动进行明确告知。
  《隐私政策》范本可参考《GB/T 35273-2020 信息安全技术 个人信息安全规范》。*
• 对于用户的权利或义务有重大影响的内容，宜进行显著告知，如采取加粗/下划线等方式。
• 《隐私政策》宜单独成文，提供“同意”或“不同意”选项，给予用户主动选择权，不得默认勾选“同意”，须用户自主选择“同意”或“不同意”。
• 用户点击同意《隐私政策》前，APP不得开始收集用户的个人信息。
• 用户进入App后，如需查看《隐私政策》，宜在4次以内操作就能够访问到《隐私政策》。个人信息字段列举详见《GB/T 35273-2020 信息安全技术 个人信息安全规范》。个人信息权限详见《网络安全标准实践指南—移动互联网应用程序（App）系统权限申请使用指南》附录A
• 应列明App与第三方共享个人信息数据的类型及目的，如与SDK的共享情况。
• 如您的APP采集儿童类数据，须在《隐私政策》中明确披露，并说明儿童数据的处理情况。
• 《隐私政策》更新时，您应当及时告知您的用户，并保留历史版本可查看。

应用

伴随相关细则的推出，app 必须在同意隐私之后才能获取deviceid、imei等一系列信息，而大量的app在老版本都是启动之后默认获取的。

• 常规情况下的改造，是逐个修改相关问题代码，或者升级修改替换相关问题库，然后上传到检查平台去检查问题。
• 对于有一定技术能力的开发人员而言，也可以选择去插桩到所有和隐私相关的class文件的方法内，存储打印相关隐私权限的调用路径，app真机启动之后，将该日志信息导出，去逐个修改字节码。
  -- 流程：扫描出来含有隐私调用的所有方法-> 插桩打印调用路径 -> 真机启动，停留在隐私同意的页面 -> 导出日志文件-> 根据日志文件再次扫描工程中所有对应的方法->修改扫描出来的类方法的字节码。
  -- 总结：这个办法相对实现容易一些，但问题也是存在的：人为参与度高、自动化困难，作为通用框架的话可能导致源码泄露，通用度低。虽然存在问题，但是已经能够去解决问题了。
• 操作字节码的方法只适应于自己的应用，或者说拥有源码，可以编译打包的程序。而问题来了，那么隐私合规平台是怎么做的呢，开发者提供给他们的apk包，很多情况下数都是加固之后，没办法在运行之前修改包信息，那他们是如何做到自动化检查隐私合规呢？对于该问题有以下猜想：
  -- 平台应该有一个自带隐私方法插桩的Android系统，这样解决了无法提前在包内插桩的情况下，去检查隐私方法违规调用的行为。
  -- 平台应该通过uiautomator或者uiautomator2之类的框架去自动化定位到app启动到了隐私合规页面。隐私合规的两个关键信息，隐私政策和用户协议，这两个点相关的信息应该参与到了逻辑识别。
• 以上都只是猜想，具体实现上可能存在很多问题，如果更好的办法，请大家留言探讨。